Com protegir l’origen amb Cloudflare Argo Tunnel?

No deixeu que algú passi per alt la protecció de Cloudflare i faci mal ús del servidor d’origen!


Cloudflare és una de les plataformes de seguretat i CDN més populars, que alimenten milions de llocs de petites a petites empreses. Quan implementeu Cloudflare per al vostre lloc web, tot el trànsit està protegit i accelerat. Però això és cert quan s’accedeix a un lloc mitjançant un nom de domini. Què passa si algú descobreix la IP real del servidor (origen) i la utilitza malament?

Trobar una IP del servidor per al lloc darrere de Cloudflare no requereix gaire. Podeu esbrinar com s’explica aquí i aquí. Ja veieu, només cal implementar CDN i WAF basat en núvol. També heu de plantejar protegir l’origen.

Quina és la solució?

Túnel d’Argo – una solució intel·ligent de Cloudflare per protegir el servidor d’origen contra atacs directes.

És un dimoni que cal instal·lar al servidor que crea un túnel xifrat entre el servidor de la xarxa Cloudflare. La configuració de taula ACL / IP és complicada.

La bona notícia és que no cal que estigueu sota un pla PRO o superior. Podeu començar, fins i tot que sigueu sota el pla GRATU FREET. Tot el que pagueu és per la subscripció a Argo, que comença des de 5 dòlars al mes.

Comencem amb la instal·lació i la configuració.

Instal·lació del dimoni Cloudflare

  • Inicieu la sessió al servidor d’origen amb privilegi root o sudo
  • Descarregueu el darrer paquet estable. Estic a Ubuntu, així que pàgina de descàrrega oficial.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Instal·leu el paquet descarregat

dpkg -i cloudflared-stable-linux-amd64.deb

  • Verifiquem la versió per assegurar-nos que s’ha instal·lat

[correu electrònic protegit]: ~ #versió cloudflared
versió cloudflared 2020.2.0 (creada el 2012-02-07-1653 UTC)
[correu electrònic protegit]: ~ #

Genial!

Autentificar el dimoni

A continuació, seria autenticar-se a Cloudflare mitjançant el dimoni. Executeu l’ordre següent

inici de sessió al túnel

  • Us demanarà l’URL que podeu utilitzar per iniciar la sessió a Cloudflare i autoritzar el lloc.

[correu electrònic protegit]: ~ # inici de sessió en un túnel senyalitzat
Obriu l’URL següent i inicieu la sessió amb el vostre compte de Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Deixeu la reproducció en núvol per baixar el certificat automàticament.
INFO [0030] En espera del login…
INFO [0060] En espera del login…
INFO [0090] En espera del login…
INFO [0120] En espera del login…
S’ha iniciat la sessió correctament.
Si voleu copiar les vostres credencials en un servidor, s’han desat a:
/root/.cloudflared/cert.pem
[correu electrònic protegit]: ~ #

  • Un cop autoritzat, hauríeu de veure una cosa així.

Arrencada del túnel

Comencem el túnel que hi ha a continuació.

túnel de núvols – nom host [HOSTNAME] http: // localhost: 80

Ex:

[correu electrònic protegit]: ~ # tunnelflared cloudhhostname tunnel.geekflare.com http://0.0.0.0:80
ATENCIÓ [0000] No es pot determinar la ruta de configuració predeterminada. No hi ha cap fitxer [config.yml config.yaml] a [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Versió 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Banderes hostname = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared no s’actualitzarà automàticament quan s’executa des del shell. Per habilitar les actualitzacions automàtiques, executeu cloudflared com a servei: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Iniciació del servidor de mètriques addr ="127.0.0.1:35597"
INFO [0000] Proxy de sol·licituds de túnels a http://0.0.0.0:80
INFO [0000] Connectat a LAX connectionID = 0
INFO [0001] Identificadors del túnel de cada connexió HA: map [0: xxx] connectionID = 0
INFO [0001] La propagació de la ruta pot trigar fins a 1 minut a que la nova ruta es converteixi en una connexió funcionalID = 0
INFO [0003] Connectat a LAX

Enhorabona! L’origen està bloquejat ara. Proveu d’accedir al vostre lloc web mitjançant la IP d’origen i haureu de veure el missatge de “connexió rebutjada”.

Arrencada del túnel d’Argo a Boot

Assegurem-nos que el Tunnel Argo s’inicia quan el servidor es reinicia. Executeu l’ordre següent al servidor.

instal·lació del servei cloudflared

Conclusió

Cloudflare Argo Tunnel sembla prometedor. En uns 30 minuts, podeu protegir el servidor d’origen.

Tags:

  • Flama de núvols

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map